Analyser les défis de l'entreprise,
pour accélérer sa transformation digitale

Sécurité

L’essor de l’IoT sera-t-il freiné par la sécurité ?

L’essor de l’IoT sera-t-il freiné par la sécurité ?

Désormais, l’Internet des objets, l’IoT, est pris en considération dans les entreprises, mais de manière prudente. Il permet de mener des opérations de manière plus efficace. Tout objet, numérique ou pas, peut devenir un capteur d’informations. Les données sont alors rapatriées par des réseaux et triées, analysées, stockées comme toute donnée par les moyens modernes de l’analytique et du big data. Il ouvre l’entreprise sur de nouveaux marchés, approchés de manière différente.

Les premières expériences fleurissent dans le grand public et plus récemment dans le monde de l’entreprise. Les transports, la logistique, la santé offrent les meilleurs exemples. Les déploiements restent toutefois assez fragmentaires et la sécurité n’est pas encore totalement assurée. Une récente étude de The Economist Intelligence met en balance ces avantages et ces inconvénients. Pour elle, la contradiction est même dangereuse.

La plupart des grandes entreprises se projettent facilement dans l’Internet des objets, mais sans le lier à des impératifs de sécurité, en particulier quand on monte à l’étage des conseils d’administration et des comités de direction. Se rendent-ils compte du danger couru par leurs propres clients et par l’entreprise elle-même ? Il appartient aux directions informatiques et aux responsables sécurité  de prendre en compte cet aspect sécurité et de le faire partager par les instances supérieures de l’entreprise. 

DSI et RSSI subissent une pression

DSI et RSSI n’ont pas la partie facile. Pour les conseils d’administration et les comités de direction, l’IoT est un engagement stratégique. Il se chiffre en milliards. Clients, concurrents et même actionnaires ne leur laissent aucune chance de passer à côté. DSI et RSSI subissent une forte pression pour expérimenter cet IoT et le développer rapidement, réalisant ainsi toutes les promesses de ce nouveau marché.

DSI et RSSI doivent, délicatement, éclairer leurs instances supérieures. Prenons l’exemple des données que va générer l’IoT. Là encore, il faut se poser les bonnes questions pour gérer ses données dans l’intérêt commercial de l’entreprise. Avant, par exemple, de répondre à un client et de le faire le plus rapidement possible, il vaut mieux disposer des bonnes données sur ce client. La vitesse de réponse qui est toujours réclamée, à juste titre, n’est pas la bonne question.  Avant elle, c’est la question de la disponibilité et de la qualité des données qu’il faut poser.

Toute entreprise qui veut se développer dans l’IoT doit en plus savoir qui possède les données en interne. Le fait qu’elles soient détenues dans des environnements différents, cloisonnés, en silos, freine toute évolution de la donnée en entreprise, particulièrement pour un sujet innovant et motivant comme l’IoT. Tout projet nouveau doit également se demander qui possède la donnée, sachant que la réponse est encore vague. C’est même une autre contradiction, l’IoT incite à se projeter vers l’extérieur, mais la question cruciale de la donnée oblige à une introspection sur ses structures et ses systèmes de gestion.

L’escroquerie en ligne finance l’innovation criminelle

De la même manière, DSI et RSSI ne peuvent éluder la notion de la sécurité de l’IoT. Pour faire court, il y a de plus en plus de cyber-criminels, ils sont mieux financés et … de plus en plus intelligents. Des cyber-spécialistes sont recrutés et deviennent des cyber-criminels, au service de gouvernements souverains, d’organisations criminelles ou de mouvements politiques extrémistes. Un monde à part, un marché à lui seul, où l’escroquerie en ligne finance une véritable innovation criminelle. Voilà pour la toile de fond, celle du cyber-risque. Développer l’IoT ne peut qu’intéresser ces criminels en ouvrant des brèches dans les systèmes de l’entreprise. L’IoT allonge en effet les processus, les porte sur des extrémités jusqu’alors non couvertes, celle des objets de toute nature, avec de nouveaux réseaux. Autant de possibles failles, sans parler des données elles-mêmes. Comment sont-elles identifiées, transportées, traitées avant d’arriver dans les systèmes de l’entreprise ? Des questions vitales avant de se lancer sur ce nouveau marché.

Si l’Internet des objets n’est pas fortement sécurisé dès le départ, il offrira des vulnérabilités infinies aux innovateurs du cyber-crime. La taille potentielle de l’Internet des objets, son développement que l’on dit rapide dans le grand public et l’entreprise est spectaculaire. On parle de 30 milliards de capteurs dans les cinq ans à venir. Chacun d’eux, fonctionnant en dehors des pare feux traditionnels,  est un point d’entrée potentiel pour les cyber-criminels. Et beaucoup, sous prétexte de faible consommation et d’une puissance de traitement limitée proposent d’abaisser la sécurité des capteurs. Les entreprises devront au contraire assurer, dès le départ, un niveau élevé de sécurité.

Tous doivent observer des normes communes

Autre faille, celle des partenaires industriels, transporteurs, logisticiens, qui participent aussi au développement de l’internet des objets de l’entreprise. Tous doivent observer des normes communes et des politiques de sécurité de même niveau. Inversement, une entreprise peut développer de l’IoT dans un univers étranger à ce secteur et donc se retrouver seule à respecter une politique de sécurité.

Le sujet ne serait pas complet sans une prise en compte de la question des ressources humaines. Dès que l’on parle de sécurité, on touche à la pénurie de compétences et de profils disponibles. Difficile d’embaucher un RSSI ou même un spécialiste de la sécurité. Ce phénomène à lui seul explique une bonne part de la vulnérabilité des entreprises. Et comme la cyber criminalité augmente et innove sans cesse, le recrutement dans ce secteur devrait être une priorité. Mais les entreprises ne savent souvent pas comment rémunérer ces RSSI qui peuvent trouver facilement d’autres postes étant donné les tensions sur leurs compétences. Elles ont même du mal à faire progresser les budgets de sécurité.

Les entreprises, observe Matt Comyns de Russel Reynolds Associates, resserrent leurs budgets et cherchent toutes les façons d’économiser de l’argent. Elles veulent innover et faire beaucoup de choses à priori merveilleuses, comme l’IoT, mais en faisant plus avec moins ! Ce qui est très bon pour les cyber-criminels. Les directions d’entreprises vont continuer à hausser les épaules devant les cyber-risques. Aux DSI et aux RSSI de prévenir leurs dirigeants lancés dans l’IoT des véritables étapes à franchir.

Partager cet article

Abonnez-vous à la newsletter CIO

Recevez notre newsletter tous les lundis et jeudis

UTILISATION DES COOKIES

En poursuivant votre navigation sur ce site,
vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêts.

Pour en savoir plus, consultez notre politique relative à la vie privée.

La question du moment
Liez-vous niveau de service et coût/budget d’un service IT ?